Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]
Groups > de.comp.lang.javascript > #5312
| From | Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) |
|---|---|
| Newsgroups | de.comp.lang.javascript |
| Subject | Re: onsubmit mehrfach auslösen |
| Date | 2022-02-05 09:56 +0000 |
| Message-ID | <1t61fe47bci1ae233n3e8%sfroehli@Froehlich.Priv.at> (permalink) |
| References | (1 earlier) <sth32r.3is.1@stefan.msgid.phost.de> <1t61fc1d81i16ad1bn3e8%sfroehli@Froehlich.Priv.at> <stjli9.5ik.1@stefan.msgid.phost.de> <5t61fd8a39i1924a7n3e8%sfroehli@Froehlich.Priv.at> <stlj9m.28c.1@stefan.msgid.phost.de> |
On Sat, 05 Feb 2022 10:24:53 Stefan Reuther wrote: > Am 04.02.2022 um 21:25 schrieb Stefan Froehlich: >> Hast Du schon einmal mit so einem Consulting zu tun gehabt? Die >> arbeiten ziemlich stur eine Checkliste durch, und die ist eher >> oberflächlich :-) > Der letzte Sicherheitsforscher[tm], mit dem ich das Vergnügen > hatte, hatte die UPnP-Service-Description meines > Infotainment-Gerätes gefunden (ein statisches XML-Dokument, das > mangels Stylesheet halt ziemlich technisch aussieht) und meinte, > dass man damit den CAN-Bus hacken könnte. Als Beleg wurde ein > Screenshot eines Exploit-Frameworks hingelegt, das sich > erfolgreich auf den HTTP-Port verbunden hat. Ja, kommt mir bekannt vor. Meine Server schicken mir Emails, wenn ihnen irgendetwas seltsam vorkommt, insbesondere wenn Anfragen gestellt werden, die offensichtlich konstruiert, aber nicht x-beliebig sind (also in die Logik der jeweiligen Applikation passen). Obiger Consultant hat also mit Grinsen im Gesucht in irgendeine Variable "nslookup $FOO" geschrieben, das wurde erkannt und in eine Mail verpackt, deren Inhalt wiederum ein paar Relais weiter einen SpamAssassin dazu gebracht hat, sich dieses seltsam aussehende $FOO kurz anzusehen. Mehr hat es nicht gebraucht: "Remote code execution!", als Beweis dafür die Nameserver-Abfrage für $FOO. Großes Drama überall. Meine Zeit und Nerven konnte ich niemandem verrechnen. > Dabei würde ich mich echt freuen, wenn mir jemand einen Fehler > nachweist, da kann ich noch was lernen :) In der Tat, ja. Wobei - ich *habe* durch sein Herumwuseln anderswo tatsächlich einen Fehler gefunden, aber der war ihm nicht aufgefallen. Und letztendlich ist die Umstellung der uralten Event-Handler von "return false" auf "event.preventDefault()" als Nebeneffekt eh auch eine gute Sache, unabhängig von jeder Sicherheitsrelevanz. Servus, Stefan -- http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich Offizieller Erstbesucher(TM) von mmeike Für die Sekunden der Einsamkeit - mästen mit Stefan! (Sloganizer)
Back to de.comp.lang.javascript | Previous | Next — Previous in thread | Find similar
onsubmit mehrfach auslösen Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2022-02-03 14:14 +0000
Re: onsubmit mehrfach auslösen Stefan Reuther <stefan.news@arcor.de> - 2022-02-03 17:23 +0100
Re: onsubmit mehrfach auslösen Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2022-02-03 18:29 +0000
Re: onsubmit mehrfach auslösen Stefan Reuther <stefan.news@arcor.de> - 2022-02-04 16:51 +0100
Re: onsubmit mehrfach auslösen Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2022-02-04 20:25 +0000
Re: onsubmit mehrfach auslösen Stefan Reuther <stefan.news@arcor.de> - 2022-02-05 10:24 +0100
Re: onsubmit mehrfach auslösen Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2022-02-05 09:56 +0000
csiph-web